AnyDesk, Anbieter von Fernwartungssoftware, hat am 02.02.2024 bestätigt, Opfer einer Cyberattacke auf seine eigenen Produktionssysteme geworden zu sein. Bereits im Januar 2024 gab es Hinweise auf Störungen und Probleme, woraufhin das Bundesamt für Sicherheit in der Informationstechnik (BSI) Betreiber kritischer Infrastrukturen gewarnt hat. Der Angriff wurde am 29. Januar 2024 entdeckt, als AnyDesk die Version 8.0.8 seines Clients aktualisierte und dabei ein geändertes Zertifikat zur digitalen Signierung einsetzte. AnyDesk selbst hat von Freitag auf Samstag eine Stellungname veröffentlicht.
In dieser Stellungnahme bestätigte AnyDesk den Angriff und informierte, dass eine Sicherheitsüberprüfung durchgeführt wurde, bei der Hinweise auf kompromittierte Produktionssysteme gefunden wurden. Daraufhin wurde ein Incident Response Plan aktiviert, und Cybersicherheitsexperten von Crowdstrike hinzugezogen. AnyDesk betont, dass es sich nicht um einen Ransomware-Angriff handelt. Die aktuellen Maßnahmen umfassten das Zurückziehen aller sicherheitsrelevanten Zertifikate, die Reparatur oder den Ersatz betroffener Systeme und den Beginn der Verwendung neuer Code-Signing-Zertifikate.
Was ist bisher bekannt?
Bisher ist bekannt, dass die sich diese Cyberattacke auf den Quellcode und private Code-Signierungsschlüssel von AnyDesk erstreckt. Das erinnert sehr an den Supply Chain Vorfall von 3CX im letzten Jahr. Das Unternehmen betonte, dass die Nutzung von AnyDesk weiterhin sicher sei, empfahl jedoch Vorsichtsmaßnahmen wie das Zurücksetzen aller Passwörter für das Webportal und die Aktualisierung auf die neueste Softwareversion. Obwohl keine Authentifizierungstoken gestohlen wurden, rät AnyDesk dazu, Passwörter aus Sicherheitsgründen zu ändern.
Was kann ich tun, wenn ich AnyDesk im Einsatz habe?
Nutzer von AnyDesk sollten umgehend Maßnahmen ergreifen, um einen erfolgreichen Cyberangriff auf das eigene Unternehmen zu verhindern. Folgende Schritte sind dabei empfohlen:
- Änderung der Passwörter auf my.anydesk.com. Alle Passwörter, die ähnlich zu diesem sind, müssen ebenfalls als betroffen angesehen werden.
- Sofortige Reaktion indem die neueste Software von AnyDesk eingespielt wird. Als sicher gilt aktuell die Version 8.0.8. Diese können Sie unter https://anydesk.com/de/downloads/windows herunterladen.
- Sollte AnyDesk nicht notwendig sein, entfernen Sie die Software komplett von Ihren Geräten.
- Kund*innen, die durch Zettasecure geschützt sind erhalten automatisch eigene STAR Rules, die sie aktiv schalten können.
- Suchen Sie gezielt nach dieser Software in Ihrer Infrastruktur. Kund*innen von SentinelOne können dafür folgenden Query nutzen.
((src.process.publisher in:anycase ('PHILANDRO SOFTWARE GMBH')) OR (tgt.process.publisher in:anycase ('PHILANDRO SOFTWARE GMBH')))Gerne unterstützen wir Sie bei der Behebung dieses Incidents. Kontaktieren Sie uns dafür unter den unten angegebenen Kontaktinfos, oder unter zettasecure.com/de/kontakt.
Update des Anydesk Angriffs (06.02.2024)
Am 2. Februar 2024 veröffentlichte der Sicherheitsforscher Florian Roth eine YARA-Regel, um Binärdateien zu erkennen, die mit kompromittierten AnyDesk-Zertifikaten signiert sind. Laut ihm stimmte ein am 2. Februar bei VirusTotal eingereichtes Agent Tesla-Binary mit seiner YARA-Regel überein.
Wir haben uns dieses Binary besorgt und eine Analyse durchgeführt. (SHA256: ac71f9ab4ccb920a493508b0e0577b31fe547aa07e914f58f1def47d08ebcf7d). Die Probe verwendet eine nicht verifizierte Signatur von philandro Software GmbH, ausgestellt von DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1, und mit der Seriennummer „0D BF 15 2D EA F0 B9 81 A8 A9 38 D5 3F 76 9D B8“, die in früheren Versionen der AnyDesk-Software verwendet wurde.
Somit wurde bestätigt, dass ein Angreifer plant diese Datei für Angriffe zu benutzen. Maßnahmen dagegen sind dringend angeraten.
